DORA dans le secteur de l’assurance : mise en œuvre allégée, priorités claires

Ce livre blanc a été rédigé par Dea Dubovci et Mischa Pupashenko de Cominia Aktuarielle Services. Vous pouvez télécharger le PDF en allemand ici.

Avec le Digital Operational Resilience Act (DORA) de l’UE, une nouvelle ère réglementaire a commencé pour les banques, les assureurs et les prestataires de services financiers depuis le 17 janvier 2025. L’objectif est de créer un cadre harmonisé à l’échelle européenne pour assurer la résilience opérationnelle numérique, c’est-à-dire la capacité à rester fonctionnel en dépit des cyberattaques, pannes de systèmes ou interruptions chez des prestataires tiers.

Pour les assureurs allemands, DORA ne signifie pas seulement un renforcement des exigences IT existantes, mais aussi la disparition progressive des exigences VAIT (exigences prudentielles en matière d’IT), instaurées par la BaFin dans le contexte de Solvabilité II. Avec DORA, une législation européenne directement applicable devient centrale, touchant non seulement les départements IT, mais l’ensemble de l’entreprise – en particulier la gestion des risques et la fonction actuarielle. Une approche holistique de la gestion des risques, intégrant toutes les fonctions concernées et rompant avec les logiques en silo, est essentielle pour une mise en œuvre durable.

Le passage à une réglementation européenne n’est pas automatique : il exige une action proactive. Même les entreprises peu avancées dans la mise en œuvre ont désormais l’occasion de rattraper leur retard rapidement et de gagner en sécurité réglementaire et opérationnelle.

De la VAIT à DORA : Qu’est-ce qui change ?

DORA s’appuie sur des normes existantes telles que la VAIT, les MaRisk (exigences minimales en gestion des risques) et les lignes directrices TIC de l’EIOPA, mais va bien au-delà. Les exigences relatives à :

• la gestion des risques TIC,
• le traitement, la classification et le signalement des incidents TIC,
• la gestion des risques liés aux prestataires TIC,
• les tests de résilience opérationnelle numérique

sont précisées, rendues contraignantes et harmonisées au niveau européen.

Point essentiel : DORA ne s’applique pas seulement aux systèmes IT traditionnels, mais à tous les services TIC, y compris les solutions développées localement, les systèmes en Shadow IT et notamment les outils IDV (Informatique Décisionnelle ou de Bureau), largement utilisés en gestion des risques et en actuariat.

L’analyse des écarts comme point d’entrée pragmatique

De nombreux assureurs disposent déjà d’une documentation de leurs processus IT dans le cadre de Solvabilité II et de la VAIT, y compris pour les outils IDV. Néanmoins, il est recommandé de commencer la mise en œuvre de DORA par une analyse d’écarts ciblée, permettant d’identifier rapidement les faiblesses existantes et de définir des mesures prioritaires. Cette analyse doit porter notamment sur :

• la méthode d’identification des processus et services TIC critiques
• la mise en place d’un cadre de gestion des risques TIC validé par le conseil d’administration
• la documentation des prestations externalisées et des tiers, notamment via un registre d’information
• les éléments de continuité d’activité : plan d’urgence, tests de redémarrage
• les processus de signalement des incidents TIC majeurs (internes et externes)

Pour les départements IT, la gestion des risques et l’actuariat, cela signifie : identifier les écarts dès maintenant, établir une gouvernance, évaluer les risques et documenter les mesures. C’est le moment pour une position stratégique claire.

IDV en pratique : obligations élargies, contrôles renforcés

Une pression particulière s’exerce sur la gestion des risques et les services actuariels : les outils IDV utilisés – feuilles Excel, bases de données Access, scripts internes – sont souvent critiques pour les calculs de provisions, Solvabilité II, la tarification et les rapports réglementaires. Même si des structures de gestion des risques existent, la pratique montre que beaucoup d’outils IDV ne sont pas encore intégrés dans un cadre formalisé. Cela représente une opportunité de combler les lacunes en matière de documentation, de tests et de traçabilité, renforçant ainsi la résilience.

L’article 16 (9) des RTS sur la gestion des risques supprime le traitement particulier des outils IDV dans la VAIT : désormais, les outils développés en interne et les logiciels standards achetés sont traités de manière égale d’un point de vue réglementaire.

Toutes les applications IDV créées en dehors de la fonction IT, y compris dans les services métiers, sont désormais soumises aux mêmes exigences strictes de contrôle et de documentation que les systèmes centraux.

DORA introduit pour la première fois des exigences contraignantes pour l’usage sécurisé des outils IDV – bien au-delà de la VAIT :
Tous les outils IDV doivent être : inventoriés sans lacune, documentés, gérés sur l’ensemble de leur cycle de vie. Cela inclut : des revues de code source obligatoires, une gestion régulière des vulnérabilités, une traçabilité cohérente des actions, l’interdiction d’utiliser des données de production dans les environnements de test ou de développement, l’évaluation préalable de tout composant tiers ou open-source avant usage.

En juin 2024, la BaFin soulignait déjà dans sa communication de surveillance : le traitement spécial des outils IDV est supprimé. Cela signifie : les développements internes seront soumis à des audits plus stricts et plus complets. Les applications métiers doivent répondre aux mêmes normes que les systèmes IT centraux, ce qui accroît fortement la charge de conformité.

Les outils IDV passent ainsi au premier plan réglementaire : ils doivent être évalués, sécurisés et gouvernés comme n’importe quel autre système TIC. Ne pas établir maintenant un système de gouvernance IDV rigoureux, c’est prendre le risque de sanctions réglementaires et de risques opérationnels élevés.

Mise en œuvre allégée : l’efficacité plutôt que le formalisme

Avec DORA, ce qui compte, c’est l’efficacité des mesures, pas la paperasserie. Il faut concentrer les ressources sur les risques essentiels, pas sur une documentation exhaustive. Un approche pragmatique et fondée sur les risques s’impose :

La criticité comme critère de pilotage : il n’est pas nécessaire de documenter entièrement chaque application peu critique. Les efforts doivent viser les outils essentiels à la continuité d’activité, aux rapports réglementaires ou aux processus clients clés. Exemple : un système actuariel de provisionnement nécessite une analyse complète (code, audit), tandis qu’un outil d’analyse interne peut suivre un processus simplifié.

Standardisation progressive : l’introduction de modèles standardisés, simples et uniformes (analyses de risque, contrats d’externalisation, documentation IDV) permet un traitement cohérent et efficace. Un questionnaire structuré de risque IDV, utilisable directement par les métiers, est un outil précieux pour réduire la charge et garantir la conformité.

Exploiter les synergies : de nombreuses exigences DORA peuvent être intégrées aux systèmes existants (gestion des risques selon Solvabilité II, MaRisk, ISO 31000, sécurité selon ISO 27001, continuité selon ISO 22301). Les tests existants peuvent être étendus aux scénarios TIC DORA sans structures parallèles. Ce qu’il faut, c’est un cadre intégré et transversal.

Dérogations encadrées : même sous DORA, l’usage de données de production en test reste possible, à condition d’un processus d’approbation formalisé et traçable. Un workflow numérique, par exemple via un système de tickets, peut représenter une solution simple et efficace.

De la pression réglementaire à l’opportunité : tirer profit de DORA pour prendre une longueur d’avance

DORA n’est plus un sujet d’avenir : c’est maintenant. C’est aussi l’opportunité d’identifier les faiblesses, de standardiser les processus et de renforcer la culture du risque.

Une mise en œuvre de DORA légère et orientée sur les risques vise la réduction réelle des risques et une résilience durable. Ce qui compte : que les mesures aient un impact concret – pas qu’elles se perdent dans le formalisme.

Vous souhaitez préparer votre entreprise à DORA ? Contactez-nous !

Dea Dubovci

Senior Consultant
Domaine Risk Management
dea.dubovci@cominia.de
+49 152 09502056

Dr Mischa Pupashenko

Principal & Responsable Risk Management
mischa.pupashenko@cominia.de
+49 152 08437644

Références bibliographiques

• BaFin Informationsseite: „DORA“
• BaFin Publikation (2024): Aufsichtsmitteilung Umsetzungshinweise DORA.
• BaFin Publikation (2025): Änderungen bei den aufsichtlichen Anforderungen an die IT.
• BaFin Publikation (2025): Vorbereitung auf DORA: "Zacken zugelegt".
• Digital Operational Resilience Act (DORA) | Updates, Compliance, Training:
• EIOPA-IKT-Guidelines: Leitlinien zu Informations- und Kommunikationstechnologien (IKT) und Sicherheitsrisiken für Versicherungsunternehmen.
• ISO 22301:2019: Security and resilience – Business continuity management systems – Requirements.
• ISO 31000:2018: Risk management – Guidelines.
• ISO/IEC 27001:2022: Information technology – Security techniques – Information security management systems – Requirements.
• MaRisk: Mindestanforderungen an das Risikomanagement (MaRisk), BaFin, Rundschreiben 10/2021 (BA) vom 29.06.2021.
• Richtlinie 2009/138/EG (Solvency II): Richtlinie des Europäischen Parlaments und des Rates vom 25. November 2009 über die Aufnahme und Ausübung der Versicherungs- und Rückversicherungstätigkeit.
• VAIT: Versicherungsaufsichtliche Anforderungen an die IT (VAIT), BaFin, Rundschreiben 10/2018 (VAIT).
  Verordnung (EU) 2022/2554: Verordnung des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor (DORA), Amtsblatt der EU, L 333/1.